焦景忠

摘 要：本文对于当前铁路部TDCS/CTC中心网安全设施常见的问题，根据现有技术标准需求，提出补强计划，并介绍方案思路、框架、获得的成效与技术特征。

关键词：TDCS/CTC；中心网络；安全防护；补强计划

中图分类号：TP393.08 文献标识码：A 文章编号：1671-2064（2019）15-0015-02

0 引言

TDCS是覆盖整路段调度指挥管理平台，可以及时、精准的为全路段各个调度指挥管理者带来现代化调度指挥控制方式及平台。TDCS属于一个三级四成框架。结构图见图1所示.铁路局调度指挥系统处在整个梯结构的第二层，通过中心机室设施、调度所设施与远程终端设施构成。基于主、备路由器，通过主、备2Mb/s通道和所管属的车站基层系统、临近铁路局TDCS与铁路总单位踢TDCS衔接，实现数据交换，铁路局每个功能台经过交换机和路由器连接，组成主、备星形衔接的LAN。

1 TDCS/CTC中心网的安全情况

TDCS与CTC属于铁路运送调度运营的关键信息平台，是铁路运营调度指挥的重要装备，属于铁路各级车辆调度对列车进行透明指挥、及时调节、统一把控的重要手段。如果系统受到损坏和攻击，将极易导致业务服务断开，甚至造成系统瘫痪，扰乱列车调度指挥运营正常进行，甚至将导致铁路运送系统的大范围瘫痪，需要对其进行多角度的安全防护。

就某铁路局来说，当前网络安全保护设施是根据《分散自律调度统一组网方案与硬件置规范》、《铁路运送调度指挥平台技术规范（暂行）》以及《关于调节TDCS平台结构与主网计划的通知》的标准来配备的。分别安装了网络抗病毒、中心防火墙以及动态口令身份认证、漏洞扫描四类网络安全防护装置。这类装置有效预防各种网络安全侵袭和非法登录，预防了病毒传递和发作，针对保证TDCS/CTC中心稳定、可靠运转到较大的作用。现有设施的拓朴结构件如图1所示。

2 常见的问题

国家相关部门确定TDCS/CTC平台是数据全等级防护四级平台。因为现有的网络安全装备部署很早，受当时科技条件与认知水平的限制，现有TDCS/CTC网络安全平台安全措施及对策方面设置很单调，主要是缺少集中的安全控制、安全审计方式缺失、对U盘、外部终端等装备缺少监督技术方法等问题，不能满足TDCS/CTC中心网络稳定总体防护需求，很难应对逐渐严重的安全威胁及风险，更与国家数据安全等级防护需求有明显差别。

（1）广播域管理不够。因为交换机仅能缩小冲突域，并无法缩小广播域，因此整个交换系统便是一个大的两层广播域，将形成诸多的二层广播帧，这些信息帧将充斥全部交换系统，但针对TDCS/CTC来说，这类信息帧就是无效的信息帧。（2）环路风险。按照以太网交换协议规范，交换机间不能有环路，如果有环路会出现广播风暴，最后将所有网络资源耗尽，进而造成网络不能用。（3）带宽无法充分使用。为避免环路，整个网络中交换机要开启生成树协议，阻塞出现环路的端口。为防止单点硬件异常与增加带宽，某铁路局TDCS/CTC调度中心的A网络交换机和中心交换机A之间使用两个光纤来衔接，但是在交换机当中出现了环路，需要经过生成树协议断开形成环路的交换机端部，该端口就是阻塞端口。唯有當稳定端口断开，阻塞端口方可重新开启得到通讯。即两个光纤链路上仅有一个光纤链路处在稳定通讯状态，另一个光纤链路处在断开状态下，不能同步采用两个链路，导致带宽无法充分使用。

3 补强目标与采取计划

结合铁路局运送局有关发表《TDCS、CTC组网计划与硬件配置规范（暂行）》的通知，对现有平台的补强要达到增强内部终端风险预防、提升平台纵身防御水平、提升安全设备技术含量等目标，采用的技术方案有：

3.1 强化内部终端问题防护

经过中心部署安全衔接控制平台对非授权设施随意联接至TDCS/CTC中心网的现象进行严格检测，避免未授权的U盘，移动计算机等装备连接调度指挥运营网络，进而防止由内部终端违法操作而造成的病毒感染和传递。此外，还能够对内部员工经MODEM拨号、双网卡等形式连接网络和其他信息平台展开检查和禁止，并基于网络安全统一管理系统实现统一监控、报警和违规U盘衔接等安全问题的集中报警和响应。于TDCS/CTC中心系统分部布丁分发平台，对TDCS/CTC中心内每种终端操作平台的漏洞展开评价和研究，经过建立针对性很强的布丁升级对策，定时分发与设置终端操作平台补丁，安全、立即的修补将会被病毒使用与攻击的平台漏洞，提高各种终端对病毒的预防性能以及“免疫力”。

3.2 提升系统纵深防范性能

创建SOC，重点包含网络完全统一管理与安全升级两大平台。网络安全统一管理重点实时监控铁路部TDCS/CTC中心稳定体系中各种安全装配与有关网络设施的运转状态以及网络运转拓扑状态展开及时监控，为安全控制者提供集中的运转状态监测数据，并结合预计的报警阀值标准，展开集中的监控告警，确保安全系统本身的安全、稳定运转[1]。主要监测主体涉及防火墙、抗病毒、身份认证、侵袭检查等安全部件，将各种安全平台的管理实现有效整合，集中监督安全运转状态，有助于值班者及时监测和维护系统安全程度，有助于预警性找到设施的故障隐患，有助于及时定位和排除安全隐患。

安全审计平台重点监测TDCS/CTC中心的关键网络设施、操作平台等日志数据，与各种安全部件的安全问题报警数据等，及时找到各种安全事件，比如网络蠕虫入侵情况、U盘非授权衔接情况、DOS攻击情况等，方便及时找到问题，安排安全技术工作者，采用科学措施，确保系统稳定运转，且在网络安全问题出现以后，对造成安全事件出现的各种行为和操作展开整体的取证和审计定责[2]。而且根据网络安全统一管理中心各种功能，不断提升TDCS/CTC中心网总体纵深防御性能。

3.3 提升安全设备技术含量

在TDCS/CTC中心平台中分布侵袭监测平台，立即检查、定位平台中的黑客攻击现象和网络蠕虫问题的感染事件，全网检查和报警系统中各种常见的网络攻击现象，比如端口扫描、抵制服务攻击与地址欺骗等不良攻击方式都会导致中心网络核心端口数据泄露，随意耗损网络带宽信息，而且冒充正常项目业务终端和合法主机实现数据交换，导致关键服务设备信息泄露与关键主机配备文件被修改等情况。补强之后TDCS/CTC核心网络安全装配拓扑框架如图2所示。

4 TDCS/CTC中心子平台网络结构完善

对于以往HSRP（或是仿真路由冗余协议VRRP）+MSTP部署形式的问题，而且为促进铁路设施的国产化，某铁路普速TDCS/CTC中心子平台的网络结构完善采取H3C交换机。把中心交换机、核心机室列头交换器、调度大厅连接交换机集中部署IRF网络模拟化、跨设施链路捆绑与端口联动[3]。IRF逻辑方面把两台中心交换机模拟化成1台中心交换机，中心交换机和连接交换机之中经跨设施链路捆绑形式，把网络结构完善成一个树形框架，消除、中心、连接层之中的环路，不再分布VRRP+MSTP协议。信息中心中逻辑结构明确、简单，设施质量、带宽得以充分使用。

4.1 IRF与链路捆绑

IRF属于H3C自主开发的软件模拟化技术。其关键思想是把多台设施经过IRF物理端口衔接起来，做出相应的配置后，模拟化成1台“分布式设施”。采用该种模拟化技术能够得到多台机器的协同运行、集中管理与持续维护[4]。链路捆绑指把若干个封装一样链路层协议的接口与链路捆绑起来，产生一条逻辑方面的信息链路。跨设施链路捆绑是基于IRF得到的对不同机械之间的同类接口相捆绑。采用IRF与链路捆绑，其显著优点是：

（1）全面提高网络性能。全部终端交换机都采取双链路分别连接到接入交换机，其也采取双链路分别接入中心交换机[5]。采用IRF与链路捆绑以前，为防止环路，关键设置、接入设施与链路仅能是“一主一备”形式运转，设施与链路的使用率仅有50%；采用IRF与链路捆绑后，关键设施、接入设施以及链路都是负载负担形式，设备与链路得到全部使用。（2）简洁网络拓扑与业务。采用IRF与链路捆绑前，整体交换网络于二层需要开启形成书，三层应当开启VRRP，不管是VLAN规划或者路由规划均非常繁琐，网络异常后的收敛时间均是秒级。采用IRF与链路捆绑之后，全网络变成一个树形框架，没有环路，二层不会再形成树，三层不再用VRRP，不仅简洁了网络拓扑与业务，收敛时间也从秒级提高至毫秒级。（3）提升网络稳定性。采用IRF与链路捆绑之前，当某一成员接口（或是链路）产生异常时，整个网络应当重新展开收敛，必定会导致网络闪断；采用IRF与链路捆绑之后，当某一成员接口（或是链路）产生异常时，流量将在毫秒间智能切换至其他能用的成员接口（或是链路）上，进而提升了整体网络的稳定性。

4.2 端口联动

该过程经过监控交换机设施的上行端口，结合其up/down状态的改变来触及下行端口up/down状态的改变，进而触及下游设施实现业务（网络）的转换。分布端口联动之前：当铁路设施交换机A上行两个万兆链路同步产生异常时，服务器A与服务器B中的网卡A（实线位置）依旧正常运行，服务器无法感知列头柜交换器A网络出现异常，信号业务无法及时切换至B网运转，有较大的安全问题。分布端口联动后：如果列头柜交換器A上行链路捆绑的两个万兆链路都down掉时，相关的下连服务器的两个交换机端口也将down掉，进而感知网络A异常，从而智能采取网络B（虚线位置）转发信息，实施网络异常的智能转换。

5 补强计划的成效与特征

5.1 补强计划的成效

通过创建TDCS/CTC核心SOC，全面控制全局TDCS/CTC核心网络稳定。保证安全事件集中的报警和响应，及时监测每个安全部件运转状态，集中配置和升级每个部件安全对策。从网络边缘至内部计算条件，采用多种安全对策，尤其是着重监测U盘违规应用，外部终端非法衔接等巨大内部安全问题，立即找出多种安全漏洞与安全事件，防护TDCS/CTC核心不会受到较大范围的病毒损坏和恶意攻击，全面提高TDCS/CTC中心稳定防护效果，制定了多角度的安全体系。对各种恶意攻击、违规处理与核心平台调试行为展开全程的记录和审计，提升安全事件出现后的追溯和定责水平，制定健全的TDCS/CTC平台事后审计制度。

通过制定全局集中的安全运维制度，实现安全对策的动态完善、安全部件的立即升级，以减少TDCS/CTC中心遭到攻击的几率，预防安全事件的出现，提升TDCS/CTC中心稳定情况的响应水平，尽可能降低安全事件危害程度。

5.2 补强计划的基本特征

这一计划充分借助了现行的网络安全防御设施，实施过程，仅需对现有装置展开极少数的适应性连接工作，得到对现有设施的兼容，进一步节省了投资，同时实施简单，TDCS/CTC平台的运转影响低[6]。而且，保留铁路部TDCS/CTC中心补强之后的网络安全平台朝更高级网络稳定防御水平过度的要求，完全符合国家数据安全等级防护四级的需求。

参考文献

[1] 周晔.TDCS网络车站至中心的专用通道故障浅析[J].铁道通信信号，2018（4）：94-95.

[2] 张海峰，应志鹏，孙轲靖，李宗峰.TDCS中心子系统网络结构的优化[J].铁道通信信号，2015（4）：74-76+79.

[3] 康新平.TDCS/CTC中心网络安全防护系统的补强方案[J].铁路通信信号工程技术，2013（4）：34-36.

[4] 陈峰，苗义烽，徐大卯，宋毅.浅析TDCS中心架构方案的网络冗余性验证方法[J].铁道通信信号，2013（S1）：47-51.

[5] 陈娟，沙颖会，石德臣.浅析京沪高铁北京CTC中心网络安全[J].铁道通信信号，2012（4）：74-76.

[6] 周佩琦.TDCS/CTC系统路局中心网络防火墙桥接模式[J].铁道通信信号，2012（3）：61-63.